XLoader infostealer’ın yeni Mac odaklı bir çeşidi, geçen ay vahşi ortamda geniş çapta yayıldı ve bilgisayar korsanlarının macOS ortamlarını etkili bir şekilde hedefleme becerisinde bir değişikliğe işaret ediyor.
Temmuz ortasından sonuna kadar, “OfficeNote.dmg” dosyası ABD, Hindistan, İspanya, Singapur ve Filipinler gibi uzak ve geniş ülkelerden VirusTotal’a dokuz kez yüklendi. Zararsız bir şekilde adlandırılmış disk görüntü dosyası, aslında XLoader bilgi hırsızının güncellenmiş bir sürümüydü ve özellikle Mac kullanıcılarının kimlik bilgilerini çalmak için tasarlanmıştı.
Bilgisayar korsanları, son zamanlarda macOS ortamlarında kullanılmak üzere Windows kötü amaçlı yazılımlarını giderek daha fazla dönüştürüyor, ancak en yeni XLoader, ani bir türevden çok daha fazlası.
SentinelOne’da bir tehdit araştırmacısı olan Phil Stokes, “Geçmişte, bir Windows kötü amaçlı yazılımının bağlantı noktası olan platformlar arası kötü amaçlı yazılım görmek çok yaygındı, ancak bu çok etkili değildi. Geliştiriciler gerçekten bilmiyorlardı. Mac için nasıl geliştirme yapılır, değil mi? Bence o zaman artık geride kaldı.”
Mac’ler için Yeni XLoader
Mac ortamları için üretilmiş ilk XLoader iki yıl önce, neredeyse bugüne kadar keşfedildi. Aşil topuğu olduğunu kanıtlayan bir Java programıydı. Java Runtime Environment, Snow Leopard’dan bu yana macOS’un varsayılan bir öğesi olmamıştır, yani XLoader yalnızca Java’yı herhangi bir nedenle indirmiş olan ana bilgisayarlarda çalışabilir.
Yeni XLoader’ın böyle bir kusuru yok — yerel olarak C ve Objective C’de yazılmış. Yasal görünen adı “Office Note”, macOS Microsoft Word logosu ve bir Apple geliştirici imzası olan bir uygulama dosyasında paketlenmiş. Stokes, Apple o zamandan beri imzayı iptal etti, ancak “pek bir fark yaratmayacak” diyor.
“Bunun tek anlamı, geliştiricilerin başka bir imzaya geçmek zorunda kalacakları. Geliştiricilerin imzaları Dark Net’te alınıp satılıyor ya da sahte. Hatta geçici imza da atabiliyorlar, bu da imzanın aslında bir imzası olmadığı anlamına geliyor. geliştirici imzası, ancak yine de Apple’ın bekçi tespitini geçecektir.”
Dosya yürütüldüğünde, makinenin arka planında aynı anda yükünü ve kalıcılık mekanizmasını kurarken kullanıcıya bir hata mesajı gösterecektir.
XLoader yüklendikten sonra, kullanıcının panosunun yanı sıra Firefox ve Chrome’da kayıtlı kimlik bilgilerini çalmaya çalışır.
Özellikle, SentinelOne’ın yayınlandığı sırada, Apple’ın kötü amaçlı yazılımdan koruma aracı XProtect’in OfficeNote.dmg’yi algılamak ve engellemek için bir imzası yoktu.
Mac Kötü Amaçlı Yazılımlarının Yeni Yüzü
MacBook’lar geçmişte endüstri veya büyük işletmeler yerine bireylere pazarlandığından, siber suçlular için daha az ilgi çekici olma eğilimindeydiler. “Beş yıl önce, kuruluşta Mac kullanan çok fazla insan yoktu. Şimdi geliştiriciler onları seviyor, C-suite onları seviyor ve bu yüzden onlar harika hedefler. Ve trend nerede olursa olsun tehdit aktörleri takip edecek.”
Tehdit aktörleri, mevcut Windows kötü amaçlı yazılımlarını düzensiz bir şekilde yeniden düzenleyerek Mac kötü amaçlı yazılımlarını denemeye başladı. En iyi ihtimalle, Golang veya Rust gibi her iki işletim sistemine de uygun dillerde yeni kötü amaçlı yazılımlar yazarlar. Stokes, “İnsanların öğrenmesi için çok kolay diller ve çok güçlü diller. Farklı platformlar için çok iyi yazılımlar yazmak artık çok daha kolay,” diyor Stokes.
Şimdi, diye ekliyor, tüm siber suç ekipleri kendilerini Mac geliştirmeye adadı. Sonuçlar, bu yeni XLoader’ın yanı sıra Atomic Stealer, MacStealer ve PureLand gibi programların meyvelerini veriyor.
Apple Güvenliği İle İlgili Sorun
Ancak Stokes’a göre, artık MacBook’lar için var olan tek şey o kadar iyi kötü amaçlı yazılım değil.
“Sorun şu ki, Apple kötü amaçlı yazılımlara karşı bu tür bir tavır sergiliyor, onu ciddiye alıyorlar, ancak her şeyin kullanıcı tarafından görülmemesini istiyorlar” diye açıklıyor. Şirketin, geçmişte tüketicilerle bu kadar yakınlaşmasını sağlayan sorunsuz, az çaba gerektiren bir kullanıcı deneyimine yönelik dogmatik taahhüdü, kurumsal güvenlik dünyasında istenen şey olmayabilir.
“Bir Windows makineniz varsa, gidip oynayabileceğiniz ve kendi taramalarınızı yapabileceğiniz büyük bir Microsoft Defender ayarlar sayfanız var” diye açıklıyor. “Apple’ın yaklaşımı şu: Bunu arka planda sessizce halledeceğiz. Ve bu, herhangi bir seviyedeki işletme veya işletme için iyi değil. Güvenlik ekibinizin haberi olmadan arka planda devam eden enfeksiyonlara sahip olamazsınız. .”
Apple’ın güvenlik yaklaşımının incelemelere nasıl dayanacağını zaman gösterecek. Şimdilik, macOS çalıştıran kuruluşların, varsayılan olarak sahip olduklarına ek güvenlik katmanları eklemeleri gerekecek.
Stokes, “Önemli olan,” diyor, “işletmelerin Apple’a güvenmek dışında başka tür bir algılamaya sahip olması gerektiğidir. Gidin ve size ekstra görünürlük ve koruma sağlayan bir şeye sahip olduğunuzdan emin olun.”